李文义宋伟耀(江西现代职业技术学院教务处;江西南昌330000)
[摘要]对企业级骨干网络的规划,要遵循安全设计的原则:全局考虑、整体设计、兼顾有效性和实用性、划分安全等级、注重自主性与可控性、以及安全有价等原则。
[关键词]网络技术网络规划企业信息
一、设计思想
1、物理网络
Intranet是建立在物理网络基础之上,这个物理网络可以是当今流行的网络结构的任意一种,如ATM、FDDI、100Base-T千兆以太网等。
2、网络操作系统
目前流行的网络操作系统主要有UNIX、WindowsNT、NetWare等,每一种网络操作系统都有支持Intranet的功能,各自有不同的特点,可以根据Intranet的规模等因素进行选择。在本系统中,选用了操作方便,适合中等网络的WindowsNT作为网络的操作系统。
3、信息服务方式
最基本的信息服务包括:域名解析服务DNS、WWW服务、电子邮件服务E-Mail、文件传输服务FTP、远程登录服务Telnet、新闻服务NEWS等服务。
4、数据库服务
数据库服务,顾名思义它为客户提供数据库访问服务,它总是等待客户发出的访问请求,完成指定的操作。因而,服务器端的数据库常常被称为数据库引擎。Oracle、SQL-Server、Informix和SyBase是目前在Intranet应用中流行的数据库引擎。数据库服务是Intranet校园办公自动化系统中相当重要的组成部分,校园的重要信息如学生成绩、教师档案等,都存放在数据库中,在日常的Intranet应用中,大部分会使用这些资源。
二、骨干网络规划
网络规划是一个网络是否稳定可靠运行的关键,如何合理配置IP地址;选择何种路由协议;在接入层如何有效划分VLAN,减小广播的范围;如何设计满足基于声音、图像、数据综合的局域网INTERNET应用的需要;满足不同的应用服务质量,将是网络规划的一个重要内容。下面,本节将逐项详细的设计。
1、路有协议选择
因为内部网络是作为一个局域网存在,所有核心,汇聚及接入层都以VLAN的方式来划分子网,因此只需在三层交换机上启用IPROUTING功能既能满足子网间的通信需求。对于出口的访问则可采用在出口交换机以静态路由的方式将内部网络的网络流量指向出口防火墙即可。
2、IP地址规划
网络系统的地址规划是网络设计的一个重要环节,根据我们已有项目实施的成功经验,规划IP地址应充分考虑未来发展的需要,统一规划、长远考虑、分片分块分配的原则。
根据内部网络的规模,子网根据部门及科室划分清晰的特性,以及未来地址扩展的趋势,建议IP地址应采用公网保留的C类地址中的私有地址192.168.0.0到192.168.255.255,在网络出口采用NAT地址转换,实现与Internet合法地址互连,并采用相应的合法地址用于公网访问内部网络的各种授权开放信息。
网络系统IP地址的划分原则如下:
(1)唯一性:IP地址必须唯一,一个IP地址对应一台数据通信设备;
(2)连续性:为同一网络区域分配连续的网络地址,原则上一个VLAN一个C类网段,这样便于规划,同时提高路由器寻径效率;
(3)可扩充性:分配地址应预留一定量的备用地址块,以便网络节点增加后能保持地址的连续性;
(4)可管理性:地址的分配应该有层次性,某个局部的变动不影响网络的其他部分;
(5)高效性:综合网采用可变长子网掩码技术,要求采用支持可变长子网掩码技术的TCP/IP协议族;
(6)合法IP地址段由客户从互联网运营商申请;
(7)内部网络使用私有保留,考虑到将来网络的规模不断扩大,建议采用192.168.X.X的私有保留地址块,可按VLAN子网来划分,并遵循IP地址规划原则,进行统一分配。
3、VLAN设计
虚拟网技术把传统的广播域按需要分割成各个独立的子广播域,将广播限制在虚拟工作组中,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。
交换式以太网中,利用VLAN技术,可以将由交换机连接成的物理网络划分成多个逻辑子网。一个VLAN中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点,而不是网络中的所有站点。在交换式以太网中,各站点可以分别属于不同的VLAN。构成VLAN的站点不论其所处的物理位置,既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。实现VLAN主要有三种途径:
(1)基于端口的VLAN
就是将交换机中的若干个端口定义为一个VLAN,同一个VLAN中的站点具有相同的网络地址,不同的VLAN之间进行通信需要通过路由功能实现。
(2)基于MAC地址的VLAN
交换机对站点的MAC地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个VLAN,而无论该站点在网络中怎样移动,由于其MAC地址保持不变,故用户不需进行网络地址的重新配置。这种技术的不足之处在于站点入网时,需要对交换机进行较复杂的手工配置,以确定该站点属于哪一个VLAN。
(3)基于网络地址的VLAN
在此VLAN中,新站点入网时无需进行太多配置,交换机根据各站点网络地址自动将其划分成不同的VLAN。在三种VLAN的实现技术中,基于网络地址的VLAN智能化程度最高,实现起来也最复杂。
网络设计采用基于端口和MAC地址相结合的方法来实现VLAN,这种把端口和MAC地址有机结合的方式大大的提高了VLAN用户接入的安全性和灵活性。
根据要求,将允许相互通信的设备划入同一VLAN,这些设备可以是同一部门,同一楼层或同一科室,而不管他们的物理位置在什么地方。对于位于不同VLAN而需要通信的设备可以使用路由的方式解决,反之,对于要限制其相互通信的VLAN则可以通过访问列表技术灵活解决。
为了有效地管理接入端用户的安全访问,接入端的交换机按基于端口来划分VLAN,并在用户实现接入时,交换机会自动收集到用户接入设备的物理MAC地址,如PC机的网卡MAC地址;网络管理员可将收集到的MAC地址信息作为交换机相应端口安全绑定;完成此项工作后,若接入用户改变接入设备,或非法未授权设备的接入,导致接入设备的MAC改变,接入交换机自动将此端口设置成不转发数据的状态。
【参考文献】
[1]单颖.新建企业的计算机网络规划.数码世界,2008(8).